Если суммировать все, что сейчас говорится и пишется на Западе относительно информационной безопасности, то можно выделить 5 направлений, которые волнуют (или должны взволновать) руководителя службы ИБ в настоящий момент (или будут стоять на повестке дня в ближайшие полгода-год):
Безопасность мобильных устройств. Учитывая распространение iPad, iPhone, BlackBerry, Android, Windows Phone и т.д., вопрос защиты всего этого мобильного безобразия - непраздный. Неслучайно у нас (в Cisco) появился термин "Borderless Network", т.е. "Сеть без границ". Это...
29.4.11
28.4.11
Число атак на SCADA растет
Очередной отчет... на этот раз от McAfee - "In the Dark: Crucial Industries Confront Cyberattacks" - посвящен не очень публичной теме - атакам на АСУ ТП (SCADA). Согласно опросу 200 руководителей критически важных объектов (энергетика, нефтянка, газо- и водоснабжение) в 14 странах мира 80% из них сталкивались с масштабными кибератаками, а 25% подвергались даже шантажу со стороны злоумышленников. 30% компаний не готовы к таким атакам (я думаю, что на практике не готовы большее число организаций), а 40% думают, что попадут в прицел хакеров в следующем...
27.4.11
Cisco открывает производство в России
Не могу не поделиться ;-) Про наш с С-Терра модуль шифрования, сертифицированный в ФСБ, я уже писал. Про сертифицированное производство - тоже. Правда, в последнем случае речь идет не о реальном производстве. Серийное производство в контексте сертификации не означает ни производства комплектующих, ни их сборки на территории Российской Федерации; речь идет только об оценке соответствия массово поставляемого оборудования. Такой подход можно назвать...
26.4.11
Тенденции мира уязвимостей
Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности.
Итак некоторые из выводов сделанных Frost & Sullivan:
число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.
уязвимостей высокой степени риска было зафиксировано большинство - почти 70% - в 4 раз больше, чем уязвимостей средней степени риска.
наиболее...
25.4.11
Новое исследование Verizon по угрозам
Компания Verizon, вслед за Veracode, тоже порадовала своим новым отчетом по угрозам - "2011 Data Breach Investigation Report". Делала она его совместно с Секретной Службой США и датским управлением по преступлениям в сфере высоких технологий.
Из интересных тенденций Verizon, пользуясь своей фирменной методологией анализа, отметила следующие:
число внешних угроз возросло (на 22%), а вот число инсайдерских атак снизилось на 31%
менее 1% атак идет со стороны бизнес-партнеров, а в 9% атак задействовано сразу несколько источников
на 10% возросло число...
22.4.11
60% всего ПО не соответствует требованиям ИБ
Уж сколько раз твердили миру... что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет "The State of Software Security Report", описывающий состояние текущего уровня защиты ПО.
Veracode проанализировала 4835 приложений (в прошлом отчете их было 2922) на разных языках программирования - Java, C/C++, .NET, ColdFusion...
21.4.11
У Leta новый проект
Компании, входящие в группу Leta продолжают радовать своей аналитикой. Совсем недавно Group-IB выпустила отличный отчет по состоянию "русской" компьютерной преступности, в котором рассматриваются основные угрозы, связанные с различными видами хакерской активности, анализируются основные услуги, предлагаемые компьютерной мафией, даются оценки доли «русского» сегмента общемирового рынка киберпреступности, а также приводятся прогнозы относительно тенденций развития данного рынка в этом году.
И вот у Leta новый отчет - "Информационная безопасность....
19.4.11
Нас будут защищать от информации по примеру США?!
14 апреля на сайте госзакупок был размещен заказ №0173100011511000028, состоящий аз 28-ми лотов. Из них меня заинтересовал 13-й лот, который называется "Зарубежный опыт регулирования ответственности участников правоотношений при использовании сети Интернет" (стоимость 973 тысячи рублей).
Цель НИР: проведение научного исследования и подготовка на его основе научного отчета, позволяющего определить основные существующие подходы в законодательстве зарубежных стран к правовому регулированию ответственности участников правоотношений при использовании...
18.4.11
Что такое TEI?
Методик количественной оценки вклада ИТ (или ИБ) в бизнес существует немало. Помимо традиционных (ROI, TCO, NPV и т.д.) практически каждая консалтинговая и аналитическая компания предлагает свой подход. Одним из них является методика TEI (Total Economic Impact) от Forrester. В отличие от TCO, которая оперирует только затратами, и ROI, которая оперирует затратами и получаемыми преимуществами (как правило, в виде денег), TEI включает еще два элемента...
15.4.11
Весеннее обострение на российском рынке ИБ?
Приходит мне вчера сообщение, что домен aladdin.com больше не существует и все запросы будут переадресовываться на safenet-inc.com. Мотивация простая - в 2009-м году SafeNet купила Aladdin и приводит все к единому знаменателю. В принципе, логично, хотя зачем убивать известный бренд?.. Но вспомнилось мне сразу, что около месяца или более назад мне пришло аналогичное сообщение и по поводу домена aladdin.ru. Его теперь тоже не существует. Всем известная компания Аладдин Р.Д. теперь располагается по новому домену.
В общем-то тоже ничего странного,...
14.4.11
13.4.11
Я на ТВ
Через 20 минут выступаю в прямом эфире РБК-ТВ. Будем дисскутировать об Интернет-угрозах ;-)- Posted using my iPh...
Что должен знать ИТ-директор об ИБ... в России
Вчера выступал на нижегородском CIO-клуб. Выкладываю презентацию.
What every cio should know about security
View more presentations from Alexey Lukats...
12.4.11
А вы сами пробовали облачную безопасность?
Вспоминая семинар RISSPA про облачную безопасность провел среди коллег мини-опрос на тему, а пробовали ли вы сами услуги облачной безопасности. Оказалось, что таких почти нет ;-( Поэтому предлагаю всем желающим потестировать сервис облачной безопасности Web-доступа - ScanSafe. Достаточно заполнить форму на сайте ScanSafe и получить полноценный доступ на 30 дней.
ЗЫ. ...и потом можно будет спорить о вкусе устриц ...
11.4.11
О запрете Skype
Про "выступление" ФСБ о запрете Skype не высказался только ленивый. Повторяться не буду. Я бы хотел обратить ваше внимание на хронологию событий. 4 апреля на сайте Минкомсвязи появляется сообщение о проведении заседания Правительственной комиссии по федеральной связи и технологическим вопросам информатизации, на которой начальник 8-го центра ФСБ г-н Андреечкин должен был выступить с докладом на тему: "Об использовании в сети связи общего пользования и информационных системах в Российской Федерации криптографических средств шифрования".
8-го апреля...
8.4.11
И вновь об оценке соответствия
И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза "оценка соответствия в установленном порядке" замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия....
7.4.11
Президент узаконил электронную подпись
Президент подписал вчера ФЗ "Об электронной подписи". Также, в связи с этим, внесены изменения в часть первую Гражданского кодекса Российской Федерации, Арбитражный процессуальный кодекс Российской Федерации, Федеральный закон «О кредитных историях», Федеральный закон «Об информации, информационных технологиях и о защите информации», Федеральный закон «Об организации предоставления государственных и муниципальных услуг» и Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального...
Деятельность ФСТЭК в 2010-м году
Опубликовала 14 марта ФСТЭК отчет о своей надзорной деятельности в 2010-м году. 18 страниц чтива. Если убрать всю воду и не "наши" темы, то кратко деятельность ФСТЭК заключалась в следующем:
Разработаны административные регламенты по направлениям деятельности. Их 7. По нашей теме регламент есть только по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации (разработка не в счет). По теме персданных регламент нет и не будет.
Данные о штатной численности работников ФСТЭК России, выполняющих...
6.4.11
7 ошибок CSO
Журнал CSO опубликовал в конце марта статью о классических ошибках, которые делают руководители служб ИБ, пытаясь в своей компании донести (скоммуницировать) важность вопросов обеспечения ИБ до всех заинтересованных сторон:
отсутствие стратегии ИБ - большинство руководителей ИБ действуют в реактивном режиме, борясь с реализуемыми угрозами, а не предвосхищая их;
пренебрежение донесением важности ИБ до каждого;
неспособность или нежелание учитывать культурные различия (моя статья про токены хорошо иллюстрирует эту проблему);
неспособность обосновать...
5.4.11
EMC покупает NetWitness
Вчера компания EMC сообщила, что покупает американскую частную компанию NetWitness, занимающуюся вопросами анализа сетевого трафика с точки зрения ИБ. Детали сделки не раскрываются. NetWitness войдет в состав RSA.
Надо заметить, что несмотря на заявленную революционность технологий NetWitness, ничего действительно нового они не предлагают. Анализ сетевого трафика с точки зрения ИБ реализован достаточно давно и многими компаниями - от таких грандов как Cisco (модули Cisco NAM или встроенная в любой маршрутизатор функциональность NBAR или FPM) и...
4.4.11
Positive Hack Days
Positive Hack Days - международный форум, посвященный практическим вопросам информационной безопасности, пройдет 19 мая в Москве. Его миссия — объединить хакеров и компании ИБ-индустрии, чтобы они смогли понять, насколько они нужны друг другу. На Форум приглашены: самые продвинутые знатоки из России, Европы, США и Китая, представители ведущих российских и зарубежных ИТ-компаний, независимые эксперты. Организатор - Positive Technologies.
Сайт - http://phdays.ru
Twitter - http://twitter.com/phdays
LinkedIn - http://www.linkedin.com/groups?h...
1.4.11
Как я писал закон по сходной цене
Расскажу интересную историю. Раздается в середине января звонок. Приятный, но холеный женский голос спрашивает, могу ли я подозвать Алексея Лукацкого. Я "подозвал" сам себя и между мной и собеседницей на том конце провода состоялся интересный разговор.
- Меня зовут Алевтина Петровна. Мой муж - депутат имярек.
- Очень приятно.
- Я слышала, что вы занимаетесь разработкой законов. Это так?
- Не совсем. Я участвую в разработке нормативной базы и иногда принимаю участие в экспертизе законопроектов.
- Это то, что мне надо. Вы можете написать мне закон?
-...
Подписаться на:
Сообщения (Atom)
